Primeiros Passos em Roteadores Cisco

Prévia do material em texto

Primeiros passos em um roteador Cisco 
 
 
Daniel B. Cid, daniel@ossec.net 
http://www.ossec.net 
 
 
Desde que comecei a escrever artigos tratando sobre o alguns dispositivos da 
Cisco, especialmente sobre o PIX (Firewall da Cisco) e sobre roteadores, tenho recebido 
várias perguntas sobre esse tipo de tema, sendo que a maioria delas podem ser 
enquadradas dentro da tabela de "PC" (perguntas cretinas, como já dizia minha mãe). 
Por exemplo, uma pessoa leu um artigo meu e veio queixando-se que 
o comando estava escrito errado no artigo, e queria saber qual era a correta sintaxe. Eu 
gastei um tempão tentando ver o que estava acontecendo, até perceber que essa pessoa 
estava digitando um comando de configuração dentro da área "errada"... 
Eu não estou aqui reclamando dessa situação não, estou apenas justificando o motivo 
desse texto: ajudar os administradores com pouca ou nenhuma experiência com 
roteadores Cisco a se mexerem e se entenderem dentro dele. 
 
 
 
1o Passo: Logando e entendendo os diferentes modos 
2o Passo: Privileged e configuration mode 
3o Passo: Comandos básicos 
4o Passo: Configurando o básico de rede 
5o Passo: Configurando o básico de roteamento 
Conclusão 
 
 
 
1o Passo - Logando e entendendo os diferentes modos 
 
O primeiro passo e o mais óbvio é logar no roteador. Geralmente os 
roteadores Cisco são configurados para aceitar conexões telnet 
(sem nenhum usuário configurado). 
Depois que você conectar no telnet (se você não tiver a senha ou o 
telnet não estiver habilitado, aí é outra história), você vai cair 
no famoso "user mode", um modo sem muito acesso que é identificado 
pelo símbolo: 
 
roteador> 
 
Neste modo, as suas opções são muito restritas, pois grande parte 
dos comandos são feitos em modo privilegiado (privileged mode) ou 
em modo de configuração global (global configuration mode). 
 
roteador>? 
Exec commands: 
 <1-99> Session number to resume 
 access-enable Create a temporary Access-List entry 
 access-profile Apply user-profile to interface 
 clear Reset functions 
 connect Open a terminal connection 
 disable Turn off privileged commands 
 disconnect Disconnect an existing network connection 
 enable Turn on privileged commands 
 exit Exit from the EXEC 
 help Description of the interactive help system 
 .. 
 terminal Set terminal line parameters 
 traceroute Trace route to destination 
 tunnel Open a tunnel connection 
 udptn Open an udptn connection 
 where List active connections 
 x28 Become an X.28 PAD 
 x3 Set X.3 parameters on PAD 
 
 
O modo de identificar a diferença entre os modos é pelo símbolo 
depois do hostname: 
 
roteador> - user mode 
roteador# - privileged mode 
roteador(config)# - modo de configuração global 
 
Basicamente, esses são os três principais modos (outros existem, mas 
são considerados sub-modos, como o de configuracao da interface de rede). 
 
 
 
2o passo - Privileged e configuration mode 
 
Após ter efetuado o login via telnet, você já está apto para entrar 
em modo privilegiado (poucos conseguem isso). Para isso, apenas digite 
o comando enable. 
 
roteador>enable 
Password: 
roteador# 
 
 
Nesse modo as opções são bem maiores e os comandos "debug", "config" e 
cia jã podem ser utilizados. Para voltar ao modo "disprivilegiado", 
apenas digite disable. 
 
roteador#disable 
roteador> 
 
Para mudar para o modo de configuração, você tem que estar em modo 
privilegiado e então digitar config. O sistema vai lhe perguntar 
o tipo de configuração desejada, mas o default "terminal" é provavelmente 
o qual você vai usar. 
 
roteador#config 
Configuring from terminal, memory, or network [terminal]? 
 
As outras duas opções são menos utilizadas, pois a "memory" já salva 
tudo diretamente na memória e a network é utilizada para salvar 
em um arquivo armazenado num servidor tftp. 
 
Para seguir direto para a configuração padrão, use config t ou 
configure terminal, se você gosta de digitar bastante. 
 
roteador#config t 
Enter configuration commands, one per line. End with CNTL/Z. 
 
Para sair do modo de configuração global, use exit ou control+Z. 
 
 
 
3o Passo - Comandos básicos 
 
O passo 2 é geralmente o que causa mais confusão. O pessoal procura 
no google e lá algumas vezes as informações são dadas aos pedaços, 
como por exemplo "digite ip address xx xx para configurar o ip 
máquina”, sem especificar os passos certinhos a seguir. Vou fornecer agora alguns 
comandos uteis e simples de se fazer, excelentes para quem esta comecando. 
 
3.1 - Vendo a versão. 
 
Com o comando show version, você pode obter informações sobre o modelo, 
versão e etc sobre o seu roteador. Ele pode ser digitado tanto em 
privileged mode ou user mode. 
 
roteador>show version 
 
roteador#show version 
 
Cisco Internetwork Operating System Software 
IOS (tm) C1700 Software (C1700-Y-M), Version 12.2(19), RELEASE SOFTWARE (fc3) 
Copyright (c) 1986-2003 by cisco Systems, Inc. 
Compiled Tue 12-Aug-03 23:30 by kellmill 
Image text-base: 0x800080E0, data-base: 0x80753880 
 
ROM: System Bootstrap, Version 12.0(3)T, RELEASE SOFTWARE (fc1) 
 
roteador-hq-gw uptime is 13 weeks, 1 day, 6 hours, 1 minute 
System returned to ROM by power-on 
System image file is "flash:c1700-y-mz.122-19" 
 
No meu caso aqui, eu tenho um 1700, rodando a versao 12.0 e com um uptime de 12 
semanas. 
 
 
 
3.2 - Vendo as configurações de rede 
 
As configurações de rede, como o IP, máscara da sub-rede e etc, podem ser 
vistos de vãrias formas. O modo mais simples são com os seguintes 
comandos (todos executados em privileged mode): 
 
show interface - mostra as configurações de todas as interfaces disponíveis; 
show ip interface - mostra as informações referentes a camada 3 das interfaces; 
show ip route - mostra a tabela de roteamento. 
 
roteador#show interface 
FastEthernet0 is up, line protocol is up 
 Hardware is PQUICC_FEC, address is 0002.1761.c705 (bia 0002.1761.c705) 
 Internet address is 14x.xx.xxx.x/27 
 MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec, 
 reliability 255/255, txload 1/255, rxload 1/255 
 Encapsulation ARPA, loopback not set 
 Keepalive set (10 sec) 
 Half-duplex, 100Mb/s, 100BaseTX/FX 
.. 
 
roteador#show ip interface 
FastEthernet0 is up, line protocol is up 
 Internet address is 1xx.xx.xxx.x/27 
 Broadcast address is 255.255.255.255 
.. 
Serial0 is up, line protocol is up 
 Internet address is 6x.xxx.xx.xxx/30 
 Broadcast address is 255.255.255.255 
 Address determined by non-volatile memory 
 MTU is 1500 bytes 
 Helper address is not set 
 Directed broadcast forwarding is disabled 
 Outgoing access list is not set 
 Inbound access list is not set 
.. 
 
roteador#show ip route 
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP 
 D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
 N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 
 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP 
 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 
 ia - IS-IS inter area, * - candidate default, U - per-user static route 
 o - ODR, P - periodic downloaded static route 
 
Gateway of last resort is 0.0.0.0 to network 0.0.0.0 
 
 xx.0.0.0/30 is subnetted, 1 subnets 
C xx.xxx.xx.xxx is directly connected, Serial0 
 1xx.xx.0.0/27 is subnetted, 1 subnets 
C 1xx.xx.xxx.0 is directly connected, FastEthernet0 
S* 0.0.0.0/0 is directly connected, Serial0 
 
 
 
3.3 - Vendo o arquivo de configuração 
 
O roteador tem dois tipos de configuração. A salva na memória (NVRAM) e a 
volátil (que se perde quando o sistema é desligado). Uma é conhecida 
como running-config e a outra por startup-config (a que vai iniciar 
com a máquina). Para vê-las, digite show running-config ou show 
startup-config. Você precisa estar em privileged mode para executaresse comando. 
 
roteador#show running-config 
Building configuration... 
 
Current configuration : 636 bytes 
! 
version 12.2 
service timestamps debug uptime 
service timestamps log uptime 
no service password-encryption 
! 
.. 
 
 
3.3 - Salvando a configuração 
 
Nada como a opção de salvar para não perder um trabalho... 
Isso me lembra dos tempos que eu fazia trabalho no M$ Word 
e tinha que a cada linha escrita ir salvando tudo... Quem nunca 
perdeu um trabalho porque o computador travou e você tinha esquecido 
de salvar ? A mesma coisa acontece quando você configura o seu roteador. 
Sempre que mexer nas configurações dele, salve tudo antes de sair 
do sistema. O comando para realizar essa tarefa é o copy. O help dele 
e o comando para salvar estão abaixo: 
 
roteador#copy ? 
 /erase Erase destination file system. 
 flash: Copy from flash: file system 
 ftp: Copy from ftp: file system 
 null: Copy from null: file system 
 nvram: Copy from nvram: file system 
 rcp: Copy from rcp: file system 
 running-config Copy from current system configuration 
 startup-config Copy from startup configuration 
 system: Copy from system: file system 
 tftp: Copy from tftp: file system 
 xmodem: Copy from xmodem: file system 
 ymodem: Copy from ymodem: file system 
 
 
roteador#copy running-config startup-config 
 
 
 
3.4 - Alterando o hostname 
 
Alterar o hostname é moleza... Qualquer pessoa que jã mexeu com Unix tira isso de letra. 
Até o comando é o mesmo (executado em modo de configuração global): hostname. 
 
roteador#config t 
roteador(config)#hostname OsSec 
OsSec(config)# 
 
 
 
3.5 - Vendo os últimos comandos digitados 
 
Esse é igual ao comando "history" do Linux: 
 
roteador#show history 
 show interface 
 show ip interface 
 show ip route 
.. 
 
 
 
3.6 - Alterando e encriptando as senhas 
 
O roteador Cisco tem vários tipos de senha, mas as principais são as senhas de acesso 
via telnet e a senha para se logar no privileged mode: 
 
enable secret - Altera a senha encriptada para se logar no modo privilegiado. 
enable password - Altera a senha para se logar no modo privilegiado sem encriptação 
 
roteador(config)#enable secret minhasenha 
 
Para alterar a senha do telnet, siga os comandos (em configuration mode): 
 
roteador(config)#line vty 0 4 
roteador(config-line)#login 
roteador(config-line)#password xxxx 
 
 
Após executar esses comandos, se você verificar o running-config, vai ver que as suas 
senhas vão aparecer em texto plano (exceto a do enable secret), sem encriptação alguma: 
 
roteador#show run 
Building configuration... 
 
Current configuration : 636 bytes 
! 
version 12.2 
service timestamps debug uptime 
service timestamps log uptime 
no service password-encryption 
! 
hostname roteador 
! 
enable secret 5 $1$4BqE$bHaugssVGfssfigBthJPL1 
enable password logicpassenablesecret!! 
.. 
line aux 0 
line vty 0 4 
 password cisco.minhasenha 
 login 
! 
no scheduler allocate 
end 
 
 
Mas você pode contornar esse problema usando o service password-encryption, que 
apesar de não 
utilizar um algoritmo muito eficiente, ajuda a aumentar a segurança: 
 
roteador(config)#service password-encryption 
roteador(config)#exit 
roteador#show run 
Building configuration... 
 
Current configuration : 676 bytes 
! 
version 12.2 
service timestamps debug uptime 
service timestamps log uptime 
service password-encryption 
! 
hostname roteador 
! 
enable secret 5 $1$4BLP$BHAugOsVGfvfwrgsqI1 
enable password 7 092D4349001A1105170E10LSOQOW2D233431010101911009812 
! 
.. 
line aux 0 
line vty 0 4 
 password 7 010B0194BgleaoslwldCb 
 login 
! 
no scheduler allocate 
end 
 
 
 
4o Passo - Configurando o básico de rede 
 
 
Configurar a rede em um roteador cisco é uma tarefa que 4 ou 5 comandos fazem, muito 
simples. Como qualquer administrador, você tem que ter em mãos as configurações 
desejadas e saber qual interface configurar. Vou fazer um exemplo, pois além de um 
"gesto" valer mais que mil palavras, fica muito mais fácil de entender. 
 
IP: 192.168.20.1 
Netmask: 255.255.255.0 
Interface: fastethernet 0/0 
 
roteador>enable 
roteador#config t 
roteador(config)#interface fastEthernet 0.0 
roteador(config-if)#ip address 192.168.20.1 255.255.255.0 
roteador(config-if)#no shutdown 
 
*O comando no shutdown server para ativar a interface. 
 
E é isso, a interface está configurada. 
 
 
 
5o Passo - Configurando o básico de roteamento 
 
Roteamento, como não podia deixar de ser, é a parte mais importante de um roteador :) e 
por isso não podíamos deixar isso fora dos nossos primeiros passos. Como todos já 
sabemos, o roteamento pode ser estático ou dinâmico. Por isso vou mostrar o comando 
para configurar uma rota estática e mostrar como configurar o RIP (mais simples 
protocolo de roteamento). 
 
5.1 - Rota estática: 
 
roteador(config)#ip route 192.168.30.0 255.255.255.0 192.168.20.1 
 
Cria uma rota para a rede 192.168.30.0;24 por meio da máquina 192.168.20.1 (sintaxe 
bem parecida com a do comando route do Linux). 
 
Para criar uma rota "default", use a sintaxe: 
 
roteador(config)#ip route 0.0.0.0 0.0.0.0 192.168.20.1 
 
 
5.2 - Rota dinâmica com RIP: 
 
Eu não quero entrar em detalhes sobre protocolos de roteamento e nem em nada mais 
avançado. Por isso vou deixar apenas o comando para executar a configuração do RIP: 
 
roteador(config)#route rip 
roteador(config-router)#network 192.168.30.0 
roteador(config-router)#exit 
 
Sendo que a rede 192.168.30.0 vai ser agora compartilhada com os outros roteadores. 
 
*A configuração de todos os outros protocolos de roteamento são bem simples. Por 
exemplo, para configurar o IGRP (router igrp 10; network 192.168.30.0) ou o OSPF 
(router ospf 10; network 10.0.0.0 0.255.255.255 area 0), todos seguem mais ou menos a 
mesma sintaxe. 
 
 
 
Conclusão 
 
Bem, eu espero que esse artigo tenha lhe ajudado de alguma forma. Se você precisar de 
qualquer ajuda ou tiver achado qualquer erro nesse artigo, não exite de me contactar por 
e-mail: daniel@ossec.net ou cidd@nhlbi.nih.gov.